DNS Güvenliği

DNS, birçok saldırıya açık bir protokol. Geçerli olmayan bir sorgu, sorgu cevabı oluşturmak ve yine de geçerli olarak göstermek çok kolay. "DNS güçlendirme" (amplification) saldırılarında band genişliğini doldurmak işten bile değil. DNSCurve sitesinin verdiği bilgiye göre, 31 byte'lık bir istek, 3974 byte bir cevap alıyor. Bu yöntem bir "kaynak IP değiştirme" yöntemiyle birlikte kullanıldığında hedefteki kurbanın ağına yönelik yüksek band genişliğinde bir trafik oluşacaktır.

DNS güvenliğini sağlamanın birkaç yolu var.

Öncelikle tek bir DNS sunucuya güvenmemek, birden çok DNS sunucu kullanmak, iç ağdan dışarı rastgele DNS taleplerini engellemek, başlangıç olarak kullanılabilir.

İyi bir yama yönetimi her zamanki gibi dostumuz, yardımcımız. Kullandığımız DNS sunucusu yazılımını, en güncel sürümünde tutmak bize, eski sürümlere yapılabilecek saldırılara karşı yardımcı olacaktır.

Diğer bir yöntem IPS tabanlı bir "sanal yama" kullanmak. Bildiğiniz gibi IPS, bilinen saldırı türlerine karşı arkasındaki kullanıcıları ve ağları korur. TippingPoint IPS üzerinde, içinde DNS geçen 68 farklı filtre mevcut.

Bu yöntemler, yine de normal bir DNS isteği ile yaratılan ve sel gibi gönderilen DNS isteklerine ve cevaplarına karşı bir önlem sağlamıyor. Bunun için TippingPoint, thresholding ve correlation yöntemlerini kullanabileceğimiz bir yöntem sunuyor: SMS Responder. Bu yöntemle, normal görünen istekler, belirlenen zaman içerisinden belirlenen sayının üstüne çıktığında bir önlem alınabilir ve IPS gelen yeni istekleri geri çevirmeye başlayabilir. Daha sonra trafik normale döndüğünde, tekrar istekler IPS üzerinden geçmeye devam eder.

Eğer ağınızı izlediğiniz farklı bir yönetim arayüzü varsa ve bu arayüz DNS isteklerinin belirlenen sınırları aştığına hükmetti ise, TippingPoint IPS'e bununla ilgili Web API aracılığı ile bir çağrı gönderebilir.